Analisi

L’importanza della supply chain nella gestione della cybersicurezza

Gli attacchi hanno la potenzialità di causare delle violazioni di sicurezza lungo tutta la filiera. La valutazione del livello di sicurezza offerto da un fornitore richiede l’analisi di diversi elementi

Pubblicato il 02 Mag 2023

Elisabetta Nunziante

TMT Specialist, LLM in IT and IP law al King’s College London

Nell’ultimo report dell’ENISA sulle minacce e sfide emergenti per il 2030 i rischi legati alle compromissioni della supply chain e alle dipendenze software sono al primo posto. La tendenza ad avere un ambiente sempre più basato sull’integrazione di componenti, sul riutilizzo dei codici e sull’open source determina un allargamento del perimetro da tenere in considerazione nella valutazione, gestione e prevenzione dei rischi.

Infatti, gli attacchi alla supply hanno la potenzialità di causare delle violazioni di sicurezza lungo tutta la filiera. La valutazione del livello di cybersicurezza offerto da un fornitore richiede l’analisi di diversi elementi tra cui, ad esempio, la manutenzione dei beni e servizi ICT, i rapporti con i subfornitori, i luoghi dove si trovano fornitori e subfornitori e l’adeguatezza delle misure contrattuali proposte.

supply chain

Il CLUSIT in una sua indagine sulla supply chain ha evidenziato come i processi e i servizi più frequentemente gestiti in outsourcing sono:

  • operazioni H
    R (es. contabilità e buste paga, in primis):
  • customer experience multimediale (es. Call center e assistenza);
  • marketing e telemarketing;
  • logistica;
  • assistenza all’infrastruttura (mail, connettività archiviazione).

In alcuni settori strategici e, in particolar modo, in quello bancario e assicurativo i servizi offerti tramite terze parti sono sempre di più anche attraverso sistemi offerti in “white label”.

La gestione dei rischi della supply chain coinvolge, dunque, diversi settori di una società. Pertanto, è consigliabile identificare e individuare procedure adeguate alla valutazione dei diversi fattori in gioco (tecnici, legali, di business e di costi) già in fase di procurement.

Quali sono le minacce che provengono dalla supply chain

Le crescenti minacce che derivano dalla filiera di approvvigionamento possono essere riassunte in nove macroaree:

  1. lock-in: difficoltà (in termini di costi, formazione personale, organizzativi, tecnici) nella sostituzione di un fornitore che determina anche uno sbilanciamento negoziale;
  2. indisponibilità del servizio del fornitore: una discontinuità nei servizi del fornitore può comportare interruzione della continuità operativa dell’azienda con potenziali ripercussioni degli obblighi nei confronti di terzi (es. clienti o dipendenti);
  3. attacchi alla supply chain: gli attori malevoli possono agire già in fase di sviluppo, inserendo del codice dannoso o durante l’esecuzione di software, sfruttando vulnerabilità e malfunzionamenti, colpendo tutta la filiera;
  4. lunghezza della supply chain: la presenza di una filiera molto lunga composta di diversi subfornitori (e sub-sub fornitori) rende difficile il riconoscimento, la gestione e il controllo di un attacco;
  5. bias nei sistemi di intelligenza artificiali: in assenza di adeguati obblighi di validazione dei dataset e del processo di apprendimento può risultare difficile individuare tempestivamente non solo bias introdotti dal fornitore (anche involontariamente) ma anche violazioni in termini di trattamento dei dati personali (in particolare, nella fase di raccolta dei dati e di gestione dei diritti);
  6. gestione delle modifiche: eventuali modifiche nella fornitura dei servizi (anche rispetto ai sub-fornitori utilizzati) potrebbe incidere sulla valutazione dei rischi eseguita preliminarmente alla contrattualizzazione del fornitore;
  7. aggiornamento: il mancato aggiornamento dei software al modificarsi degli scenari di rischio comporta una modifica del rischio nel tempo, dovuti all’obsolescenza o alla mancata applicazione patch, a fronte dell’evolversi delle minacce;
  8. accesso ai dati da parte del fornitore: La qualificazione dei ruoli nel trattamento dei dati e l’applicazione di un robusto sistema di gestione delle credenziali e delle autorizzazioni è fondamentale sono alla base del principio di cd. Zero trust (non fidarsi mai, verificare sempre) che consiste nel verificare (solitamente con autenticazione multi fattore) e identità, limitare l’accesso su need-to-know basis e monitorare i dati di log;
  9. scenari geopolitici: l’instabilità geopolitica (es. conflitto russo-ucraino) e l’esistenza di vincoli giuridici per il ricorso di terze parti (es. GDPR) richiede un’attenta valutazione della posizione geografica dei fornitori e dei subfornitori. Ad esempio, nell’ambito della Crisi Ucraina, l’ACN aveva prontamente raccomandato un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione.

Tali fattori devono essere opportunamente valutati prima dell’inizio dell’outsourcing e monitorati costantemente, anche ricorrendo a sistemi di audit adeguati (es. di terze parti). Sebbene la valutazione tecnica delle garanzie offerte in termini di cybersecurity sia fondamentale, altrettanto importante è la gestione legale del rischio.

Infatti, la più recente normativa di riferimento (Perimetro cibernetico nazionale, NIS2 DORA) è sempre più focalizzata sulla regolamentazione delle fasi contrattuale e precontrattuale.

Il GDPR e la contrattualizzazione dei responsabili del trattamento

Una pietra miliare della gestione dei rischi relativi alla fornitura è la disciplina dei responsabili del trattamento prevista dall’art. 28 GDPR. L’art. 28 GDPR, infatti, oltre a prescrivere clausole contrattuali minime, disciplina la fase precontrattuale prescrivendo al titolare di valutare l’adeguatezza del potenziale responsabile (e, di converso, al responsabile di provare la propria adeguatezza).

L’importanza dell’attività di valutazione preventiva è, infatti, anche una delle principali raccomandazioni che emergono dall’azione coordinata di enforcement relativamente al ricorso di Cloud Service Provider nella PA.

Una mappatura e una valutazione efficace, infatti, consente di essere preparati, nella successiva fase di negoziazione, a concordare adeguate misure contrattuali.

supply chainIl titolo V del GDPR, come interpretato dalla decisione Schrems II e dalle raccomandazioni dell’EDPB, è un ulteriore esempio di regolamentazione basata sulla previa valutazione della controparte contrattuale (tramite, un adeguato Transfer Impact Assessment) e sulla identificazione di adeguate misure contrattuali di gestione del rischio (adozione di SCC e di misure contrattuali supplementari adeguate al rischio specifico). La centralità di tale aspetto è confermata dal Data Governance Act che, sulla scia della normativa in materia di trattamento dei dati personali, include ulteriori disposizioni in materia di trasferimenti di informazioni extra EU.

Da ultimo, il GDPR pone particolare attenzione sul controllo della filiera di approvvigionamento, richiedendo ai responsabili di imporre le medesime condizioni contrattuali ai suoi stessi fornitori (sub-responsabile). In questo senso, alla luce della lettera dell’Art. 28, un data processing agreement dovrebbe sempre disciplinare attentamente le variazioni dei subfornitori che potrebbe alterare la valutazione dei rischi iniziali nonché i livelli di servizio.

Il perimetro cybernetico nazionale

Anche il perimetro cybernetico nazionale affronta il tema della supply chain. Infatti, soggetti che ricadono nel perimetro che intendono affidare a terzi beni, sistemi e servizi ICT “critiche” sono tenuti a darne preventiva comunicazione ai CVCN che possono effettuare verifiche preliminari e finanche dettare prescrizioni.

Gli schemi contrattuali, dunque, dovranno debitamente tenere in condizione queste circostanze prevedendo apposite clausole sospensive e/o di risoluzione.

Allo stesso tempo, l’attenzione alla supply chain nella normativa del perimetro impone ai fornitori terzi non soltanto ad equipaggiarsi per collaborare con i CVCN nel processo di valutazione (con la potenziale applicazione di sanzioni) ma anche di tenere in considerazione nello sviluppo dei propri prodotti e servizi talune misure di sicurezza che, sebbene non direttamente applicabili ex lege, saranno su di loro riversate come obbligo contrattuale dai clienti rientranti nel perimetro.

Il DORA

Gli obblighi di cybersicurezza nel DORA sono particolarmente specifici con riferimento alla gestione dei rischi della supply chain. Il settore finanziario è caratterizzato da una forte integrazione e interdipendenza tra soggetti. Per questo motivo, il DORA prescrive non soltanto la necessità di porre in essere una valutazione preventiva accurata dei livelli di sicurezza offerti dal fornitore ma anche un’adeguata documentazione del rischio e un continuo processo di auditing e testing.

Allo stesso tempo, il DORA individua delle misure contrattuali minimi distinguendo tra TIC e TIC critici e importanti, implementando i principi generali della proporzionalità e del risk based approach. Tutti i contratti dovrebbero, ad esempio, descrivere chiaramente le funzioni, la localizzazione degli strumenti, le misure di sicurezza, le misure di ripristino e di assistenza in caso di incidenti, i livelli di servizio e le modalità di risoluzione e recesso.

Tuttavia, per le TIC critiche o importante gli SLA dovrebbero essere individuati in modo più accurato, tenendo in considerazioni aggiornamenti e revisioni. Allo stesso tempo, per i TIC critici e importanti è di fondamentale importanza disciplinare in modo accurato la cd. “exit strategy” nel caso in cui, per qualsivoglia motivo, il rapporto di fornitura debba cessare.

Specifica attenzione è, inoltre, attribuita ai rischi di “concentrazione” dei fornitori. I rischi della concentrazione derivano, da un lato, dalla non facile sostituibilità di un fornitore e, dall’altro, dell’affidamento di più funzioni critiche a un solo fornitore o a diversi fornitori dello stesso gruppo societario.

La scelta tra differenziare e concentrare i fornitori deve prendere in considerazione diversi fattori come, ad esempio, la posizione geografica, il livello di controllo sulla catena di approvvigionamento, la possibilità di un effettivo recupero dei dati in caso di cessazione del rapporto contrattuale o di insolvenza del fornitore ma anche i costi, gli standard di sicurezza offerti e le necessità di business.

Anche in questo caso, un corretto approccio strategico è l’individuazione preventiva dei rischi e l’adozione di adeguate misure contrattuali per gestire gli stessi (es. clausole di risoluzione, clausole penali e obblighi informativi preventivi).

In ragione della centrale importanza che alcune TIC critiche svolgono nella fornitura di alcuni servizi e del loro potere negoziale la DORA prevede la costituzione del cd. “Union Oversight Framework” finalizzato a svolgere un’attività di sorveglianza condotte su tutti i fornitori terzi critici di servizi TIC.

Nonostante la natura speciale e settoriale del DORA, l’UE non si limita ad imporre il rispetto di misure specifiche ai soggetti regolamentati ma si spinge ad incidere direttamente sui loro fornitori. Nella struttura del quadro di sorveglianza, l’autorità capofila dispone di poteri estesi. In particolare, le autorità competenti dare raccomandazioni specifiche, richiedere informazioni e relazioni di compliance (assistite con penalità di mora in caso di inosservanza). Le autorità competenti possono, inoltre, persino chiedere alle entità finanziarie di risolvere, in tutto o in parte, gli accordi contrattuali stipulati con i fornitori terzi critici di servizi TIC.

Dal momento che moltissime TIC critiche sono stabilite al di fuori dell’UE, il Regolamento DORA prevede anche la possibilità di esercitare poteri di sorveglianza al di fuori dell’Unione stessa, sebbene l’impatto pratico di queste previsioni potrà essere valutato solo a seguito della loro applicazione pratica.

La NIS2

supply chainLa NIS2 impone ai soggetti in scope di adottare specifiche misure per la gestione dei rischi della supply chain. Rispetto al Regolamento DORA, la NIS2, essendo una direttiva, con un ampio oggetto applicativo è meno capillare. Le implementazioni nazionali, dunque, giocheranno un importante ruolo nella definizione del livello di compliance.

La direttiva NIS2, inoltre, prevede che il gruppo di cooperazione, la Commissione e l’ENISA effettuino delle valutazioni coordinate dei rischi per la sicurezza di catene di approvvigionamento critiche con un approccio sector based. In particolare, non soltanto le valutazioni coordinate si proporranno di individuare rischi, vulnerabilità ma anche di proporre misure di attenuazione e best practice. Tra i diversi rischi, la NIS2 si sofferma, in particolare, sull’indebita influenza di un paese terzo sui fornitori.

supply chain

Una check list per la gestione del rischio relativo alla supply chain

Per poter gestire al meglio il rischio relativo alla supply chain, è necessario creare processi e documentazioni scalabili. Per trovare soluzioni scalabili (soprattutto quando le forniture TIC possono comportare anche il trattamento di dati personali) è consigliabile che le diverse documentazioni di compliance siano integrate, ad esempio integrando la valutazione del fornitore nella DPIA, mappando l’adeguatezza delle misure partendo dalle informazioni contenute nel registro dei trattamenti.

La predisposizione di un adeguata regolamentazione contrattuale è di fondamentale importanza per la gestione dei rischi, soprattutto finanziari. Non sempre è possibile contrattare con i fornitori, specialmente nel caso dei big player che hanno un potere negoziale maggiore. In questi casi, la documentazione contrattuale dovrebbe essere revisionata attentamente in fase di valutazione dei fornitori. Gli aspetti contrattuali devono essere parte integrante della scelta di un fornitore.

Particolare attenzione deve essere sempre posta sulla fase di cessazione del contratto, quando l’interesse delle parti a raggiungere degli accordi è minore e eventuali conflitti potrebbero ripercuotersi sulla continuità dei servizi.

In particolare, i seguenti aspetti dovrebbero essere presi in considerazione in via prioritaria:

  • implementazione di un processo interno di gestione dei fornitori, dalla contrattualizzazione alla gestione del rapporto;
  • creazione e monitoraggio di un inventario che tenga in considerazione l’esposizione finanziario, la criticità della fornitura, i dati sul termine del contratto, i vincoli contrattuali in essere, i subfornitori e i relativi rischi;
  • valutazione delle certificazioni dei fornitori e condivisione del rischio con assicuratori;
  • clausole che consentano di verificare la catena di approvvigionamento dei sub-fornitori e dei loro fornitori assicurandosi che il livello di sicurezza atteso sia mantenuto a tutti i livelli;
  • obblighi di collaborazione e comunicazioni in caso di incidenti con tempistiche definite, assistiti da clausole penali;
  • livelli di servizio adeguati con clausole penali e con possibile revisione degli stessi;
  • clausole relative alla modifica dei servizi che possano inficiare la fornitura dei servizi;
  • un’accurata disciplina della cessazione del contratto che preveda modalità e formati per la restituzione dei dati, assistenza nella migrazione e un periodo transitorio;
  • specifiche clausole relativamente al mantenimento del massimo livello di sicurezza nel tempo;
  • allocazione preventiva dei costi per audit, cooperazione e migrazione;
  • previsione contrattuali di periodiche audit, training e esercitazioni sul rischio.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti trattati

Approfondimenti

A
attacchi informatici
C
cybersecurity
G
GDPR
S
sicurezza informatica

Prossimo

Riconoscimento facciale: in Spagna LaLiga chiede il supporto del governo per la lotta al razzismo negli stadi

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Mail

Link

Articolo 1 di 2